Разработка, производство и продажа радиоэлектронной аппаратуры
|
Карта сайта
|
Пишите нам
|
В избранное
Требуется программист в Зеленограде
- обработка данных с датчиков; ColdFire; 40 тыс.
e-mail:
jobsmp@pochta.ru
Телесистемы
|
Электроника
|
Конференция «Микроконтроллеры и их применение»
У кого был такой вирус+++
Отправлено
dshabrov
19 марта 2009, г. 14:17
В папку C:\WINDOWS\Temp периодически пишется файл типа
68DF.tmp
Комода (файерволл) ругается, что 68DF.tmp лезет в Интернет на разные сайты по протоколу TCP. Естевственно блокирую.
В диспетчере задач 68DF.tmp присутствует. Убиваю. Удаляю из C:\WINDOWS\Temp - через некоторое время (1-2часа) все повторяется с другим номером файла.
Отследить какая падла пишет в C:\WINDOWS\Temp - пытался. FileMon говорит, что это WinLogon. Само собой - это вранье.
Так что удалить падлу не представляется возможным. Грохать винду (XP) тоже нет возможности.
Антивируcы (разные)нашли MailWare, удалили. Но ситуация не изменилась. Исправления XP (установка - ключ R) не помогли.
Ковыряние в Управлении / просмотр ошибок ничего не дало.
Тупик.
Составить ответ
|
Вернуться на конференцию.
Ответы
Использовали антивирус RemoveIt-Pro?
-
Ю
(19.03.2009, 14:28:16
62.84.104.194
, 244 байт)
В пи...у такого хомячка.понаходил кучу вирусов, часть из них заныканные лицензии от IAR, установочный файл от logitech вебки и запчасти от мультисима....
-
Flasher
(19.03.2009, 17:57:19
77.235.105.57
,
пустое
)
Потрясающе! Там, где Касперские, Вебы, Комоды нихрена не нашли, RemovIt нашел 4 вируса: Sys32.crypts, Sys32.nsprs, Sys32.serauth1, Sys32.serauth2 !!!
-
dshabrov
(19.03.2009, 14:58:29
212.248.22.210
,
пустое
)
Внимание, подстава! Этот горе-антивирус у меня тоже нашел вирусы. В фирменном драйвере FTDI. Это раз. В двух файлах serauth1 serauth2. А теперь внимание! Эти два файла имеют дату создания год назад и НУЛЕВУЮ длину. Фтопку такой "анивирус". (штатно стоит Symantec Antivirus с последними обновлениями плюс TrojanRemover)
-
Doppler
(19.03.2009, 15:44:39
85.223.109.75
,
пустое
)
кстати- эти два файла- запчасти от iar
-
Flasher
(19.03.2009, 20:55:58
77.235.105.57
,
пустое
)
Ответ: По крайней мере после его работы падла в Сеть лезть перестала. 3 вируса он вылечил сам, а зараженый Crypt.dll удалил с помощью Unlocker. Далее восстановил его SFC/Scannow.
-
dshabrov
(19.03.2009, 15:49:21
212.248.22.210
,
пустое
)
Мне посоветовал его использовать сисадмин института.
-
Ю
(19.03.2009, 17:04:16
62.84.104.194
, 335 байт)
Спасибо. Полетел пробовать.
-
dshabrov
(19.03.2009, 14:31:37
212.248.22.210
,
пустое
)
форум www.drweb.ru, www.kaspersky.ru: помощь по лечению.
-
++
(19.03.2009, 14:26:16
10.0.1.35,212.45.31.226
, 121 байт,
ссылка
,
картинка
)
У меня четыре файла с таким расширением
-
Trashy
(19.03.2009, 14:24:16
192.168.1.99,213.167.60.22
,
пустое
)
Поздравляю. По CTRL+Shift+ESC смотрите - должен быть процесс с таким же именем.Если есть фаерволл можно посмотреть - этот процесс лезет в Инет. Падла.
-
dshabrov
(19.03.2009, 14:33:41
212.248.22.210
,
пустое
)
Нету. Из вирусов там только альтиум десигнер, мать его так....
-
Trashy
(19.03.2009, 14:37:53
192.168.1.99,213.167.60.22
,
пустое
)
Вот и я проверял монстрами - ничего не нашел. Маленький RemovIT нашел 4 вируса (чит. выше). Позор монстрам!
-
dshabrov
(19.03.2009, 15:13:43
212.248.22.210
,
пустое
)
Осталось доказать, что это были вирусы.
-
Trashy
(19.03.2009, 15:14:58
192.168.1.99,213.167.60.22
,
пустое
)
Ответ: Через 2 часа в папке C:\WINDOWS\Temp должен появится очередной перл. Коморда должна ругнутся, что он пытается лезть в Сеть. 1ч 50мин. Полет нормальный.
-
dshabrov
(19.03.2009, 15:18:10
212.248.22.210
,
пустое
)
В автозапуске в реестре есть? Для веток локальной машины и локального юзера
-
grayprapor
(19.03.2009, 14:22:58
213.228.95.211,69.41.173.145
,
пустое
)
Если смотреть Ccleaner'ом - там все впорядке. Если Atoruns - врядли найдете среди всей каши.
-
dshabrov
(19.03.2009, 14:35:9
212.248.22.210
,
пустое
)
Угу. ДрВеб почему-то иногда не удаляет из реестра автозапуск файлов, которые генерируют вирусные exe-шники, в результате после перезагрузки компа вылеченные вирус снова жив. Приходится удалять этот автозапуск вручную.
-
Шунт_гороховый
(19.03.2009, 14:29:0
93.80.236.99
,
пустое
)
Отправка ответа
Имя*:
Пароль:
E-mail:
Тема*:
Сообщение:
Ссылка на URL:
URL изображения:
если вы незарегистрированный на форуме пользователь, то
для успешного добавления сообщения заполните поле, как указано ниже:
введите число 654:
Перейти к списку ответов
|
Конференция
|
Раздел "Электроника"
|
Главная страница
|
Карта сайта
Web
telesys.ru